安全内参
安全内参
微信号 anquanneican
功能介绍 《安全内参》是专注于网络安全产业发展和行业应用的高端智库平台,致力于成为网络安全首席知识官。曾用名“互联网安全内参”。投稿&合作请邮件联系 anquanneican#163.com
__发表于
收录于合集
编者荐语:
黑产攻击财务的目的主要是将财务和高仿领导的账号拉到同一个群聊中,并诱导财务将钱转到指定的账户中,进而实现获利的目的。
以下文章来源于奇安信威胁情报中心 ,作者威胁情报中心
奇安信威胁情报中心 .
威胁情报信息共享,事件预警通报,攻击事件分析报告,恶意软件分析报告
概述
近期奇安信威胁情报中心捕获到针对财务人员的钓鱼样本,样本格式为CHM。该样本在双击运行之后首先释放并加载dotnet模块,dotnet模块将根据系统架构的不同加载不同的shellcode,shellcode从服务器远程下载svchost.exe、libcef.dll和libcef.png等载荷,通过模拟点击断链技术执行svchost.exe加载libcef.dll中的核心恶意代码,达到收集主机信息,浏览器历史记录,自启动等功能。
黑产攻击财务的目的主要是将财务和高仿领导的账号拉到同一个群聊中,并诱导财务将钱转到指定的账户中,进而实现获利的目的。
样本分析
黑产通过邮件或者微信群投递的诱饵文档名为《2023年10月企业税务稽查内容通知.zip(离购买许可只剩7天).zip》
当用户双击CHM样本后,将弹出一个Windows警告。
用户点击“是”之后恶意代码开始运行。
基本信息
MD5
|
06ed2c30954614fe1e8e9e8bd4619510
---|---
SHA256
|
172dcc050fd15c75b6e03ed55c67871d9197cf4b3b337c89623d2be41b9850c4
文件类型
|
CHM
Test.html首先在开头使用JS定义了一个将base64编码转换为二进制流的函数:
随后又定义了stage_1、stage_2和stage_3三个变量的内容及大小:
最后尝试创建一个WScript.Shell对象,用于操作Windows Shell。通过shell读取注册表中的.NET Framework版本号,如果读取失败则将stage_3赋给stage_1,并将版本号设置为v2.0.50727。随后将进程环境变量COMPLUS_Version设置为.NET Framework版本号。尝试将stage_1(经过Base64编码的二进制数据)反序列化为对象。
如果以上步骤中出现任何异常,则尝试将stage_2(经过Base64编码的另一个二进制数据)反序列化为对象,但不会抛出任何异常。
被转化为二进制流的base64字符串在使用BinaryFormatter.Deserialize函数反序列化后将直接执行其中的代码。
阶段一
stage_1的代码如下所示:
Stage_2与stage_3的代码功能相似,首先将一个.NET模块加载进内存:
程序首先添加任务到keyValuePairs字典中,其中键为https://muchengoss.oss-cn-hongkong.aliyuncs.com/
- remotePath,值为"C:\Users[当前用户名]\Searches"下的一个随机生成的文件夹。+ fileName。将https://muchengoss.oss-cn- hongkong.aliyuncs.com/与“svchost.exe”,“libcef.dll”,“libcef.png”,“decod.exe”,“cache.dat”拼接。
随后调用Shellcode类中的Load2方法加载shellcode。
首先判断系统架构是64位/32位,两种情况分别加载不同的shellcode。
阶段二
Shellcode将动态解密出Urlmon.dll并调用UrlOpenBlockStreamW函数从拼接好的URL字符串远程下载svchost.exe、libcef.dll和libcef.png。
先用Shellexecute open这个文件夹,然后隐藏这个文件夹的窗口
再通过findwindows查找定位这个目录的窗口这个快捷方式文件
最后SendMessage点击运行这个lnk文件。
模拟点击执行的目的是断开进程链,防止EDR监控到后续的行为。
阶段三
Lnk文件的作用是启动svchost.exe。
Svchost.exe中调用libcef.dll的导出函数有十几个,但实际上这些函数的内部都跳转到了sub_691550E0。
阶段四
对sub_691550E0进行分析:
将libcef.png解密成dll文件,并创建新线程开始执行dll中的fuckyou函数:
根据dll中的字符串信息判断,应该是根据Ghost远控源码改造而成。
使用的数据传输协议也是IOCP。
获取计算机的GUID
对一些应用程序进行监控以及用户数据的收集,包括Chrome浏览器、QQ浏览器、火狐浏览器、360安全浏览器、搜狗浏览器、Skype
检测杀软进程并关闭
修改注册表添加自启动
释放file_update文件并将其加载进内存运行
设置UAC访问策略
文件遍历
将自身伪装成Windows update.exe。
键盘记录
获取systeminfo
获取计算机用户名
与ipconfig.cc通信,获取本机IP地址
与C2:103.210.237.33:65422通信
最后保持一分钟发送一次心跳包的频率确认主机存活
总结
目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。
IOCs
MD5
06ed2c30954614fe1e8e9e8bd4619510
d1a88258376133409e0df56740683d30
0a5b0607f6db1e8c9e3d2ca0da5c8d58
b2d085ab9171d577f8b36cf58090278b
URL
https://muchengoss.oss-cn-hongkong.aliyuncs.com/
https://muchengoss.oss-cn-hongkong.aliyuncs.com/TG.exe
https://muchengoss.oss-cn-hongkong.aliyuncs.com/cache.dat
https://muchengoss.oss-cn-hongkong.aliyuncs.com/decod.exe
https://muchengoss.oss-cn-hongkong.aliyuncs.com/libcef.dll
https://muchengoss.oss-cn-hongkong.aliyuncs.com/libcef.png
C2
103.210.237[.]33:65422
推荐阅读
文章来源:奇安信威胁情报中心
点击下方卡片关注我们,带你一起读懂网络安全 ↓
预览时标签不可点
微信扫一扫
关注该公众号
知道了
微信扫一扫
使用小程序
取消 允许
取消 允许
: , 。 视频 小程序 赞 ,轻点两下取消赞 在看 ,轻点两下取消在看